Ver Feed RSS

Notícias Sobre TI e Linux

Atualização do Typo3 Fecha Várias Brechas Críticas

Avalie este Post de Blog
Os desenvolvedores do Typo3 anunciaram dia 23 último, o lançamento das versões 4.1.13, 4.2.10 e 4.3 beta. Todas as três versões estão disponíveis para download. Com essa atualização, vários problemas de segurança foram corrigidos. Dentre os problemas relatados nas versões anteriores estão as vulnerabilidades por ataques XSS (Cross-Site Scripting), injeções via SQL, e a possibilidade de realização de um bypass nos mecanismos de proteção, com a intenção de espionar dados.


A mais crítica (e técnica) das falhas estava no sistema de processamento de upload de arquivos. A falha que foi relatada permitiria a submissão e execução de comandos shell arbitrários no sistema, em cima de nomes de arquivos. Entretanto, para que a falha pudesse ser explorada, era necessário estar logado no sistema. O mesmo para as injeções SQL.

Outro ponto interessante é que o ataque via shell só funcionaria se os arquivos fossem enviados via extensões de terceiros ou FTP. Se o upload fosse realizado via módulo padrão, os nomes de arquivos estariam normalizados. Som isso, sabendo que a versão 4.0.13 também foi afetada, seu suporte será descontinuado. E o suporte para a versão 4.1 também será interrompido assim que a versão 4.3 for lançada. Se a programação for seguida, a versão 4.3 estará disponível para download até o final de novembro de 2009.

Para quem não conhece, o projeto TYPO3 é um framework CMS livre, liberado sob a licença GNU (GPL). Visite o site oficial do projeto em http://typo3.org/


Saiba Mais:


[1] Heise Online: http://www.h-online.com/open/news/it...es-838299.html
[2] Boletim oficial do TYPO3: http://typo3.org/teams/security/secu...3-sa-2009-016/
[3] Site oficial do TYPO3: http://typo3.org
Categorias
Noticias

Comentários


+ Enviar Comentário



Visite: BR-Linux ·  VivaOLinux ·  Dicas-L